pixel_dreams - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Aumentan las consecuencias de la fuga de armas cibernéticas del Grupo Equation

El misterio continúa rodeando la liberación de las herramientas de hacking y los exploits de vulnerabilidades del Grupo Equation por parte de los Shadow Brokers, conforme los vendedores se vuelcan de cabeza para ofrecer parches de día cero.

La historia detrás de la fuga de herramientas de hacking y exploits provocada por los Shadow Brokers continúa desarrollándose, a medida que más detalles –y teorías– emergen, mientras que los fabricantes afectados Cisco y Fortinet responden a las vulnerabilidades de día cero expuestas por el grupo.

Los expertos y conocedores siguen desenredando los hilos –y las amenazas– involucradas en la fuga para entender quién está detrás del grupo Shadow Brokers, así como el origen de los archivos filtrados. La evidencia sugiere que el material filtrado procedía del grupo de amenazas persistentes avanzadas conocido como Equation Group, que a su vez se ha asociado con la Agencia Nacional de Seguridad (NSA) –y los archivos filtrados incluyen exploits utilizables de vulnerabilidades de día cero.

Ex agentes del grupo de Operaciones de Acceso a la Medida de la NSA le contaron a The Washington Post que las herramientas liberadas en la fuga parecían ser las herramientas de hacking desarrolladas por la agencia. Y también se recibió un reporte de un manual inédito de la NSA para el uso de las herramientas, filtrados por delator Edward Snowden, lo cual fue informado por The Verge para confirmar que la NSA era la fuente de los archivos recién filtrados.

Paul Vixie, CEO de FarSight Security Inc., con sede en San Mateo, California, dijo en el programa PBS NewsHour, "cualquier cifra entre una décima parte y la mitad de las bases de clientes de los mayores fabricantes de firewalls realmente deberían preocuparse en este momento."

El equipo global de investigación y análisis de Kaspersky Lab escribió: "Si bien no podemos conjeturar la identidad o motivación del atacante, ni dónde ni cómo se llegó a robar este tesoro, podemos afirmar que varios cientos de herramientas de la fuga comparten una fuerte conexión con nuestros hallazgos anteriores del Grupo Equation."

Cisco y Fortinet responden a las fugas de los Shadow Brokers

Cisco y Fortinet son los primeros en responder entre los vendedores de productos afectados por la fuga de los Shadow Brokers. "El exploit EXTRABACON tiene como objetivo una vulnerabilidad de desbordamiento de búfer en el código SNMP [Simple Network Management Protocol] de los servicios Cisco ASA, Cisco PIX y Cisco Firewall Module Services", escribió Omar Santos, ingeniero principal en el equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco, en un blog. "Un atacante podría aprovechar esta vulnerabilidad mediante el envío de paquetes SNMP diseñados para alguno de los producto de Cisco afectados."

Santos señaló que el exploit incluso viene con su propio menú de ayuda. El exploit EPICBANANA, que se solucionó en la versión 8.4 (3) de Cisco ASA, lanzado a principios de 2012, permitiría a los atacantes autenticados ejecutar un ataque de denegación de servicio o, potencialmente, ejecutar código arbitrario de forma remota. "Un atacante podría aprovechar esta vulnerabilidad mediante la invocación de ciertos comandos no válidos en un dispositivo afectado. El atacante debe conocer la contraseña de Telnet o SSH con el fin de explotar con éxito un dispositivo afectado."

Fortinet publicó un aviso para una vulnerabilidad de desbordamiento de búfer en un analizador de cookies, como resultado de la fuga. "El firmware de FortiGate (FOS) que se liberó antes de agosto de 2012 tiene una vulnerabilidad de desbordamiento de búfer que analiza cookies", se advierte. "Esta vulnerabilidad, cuando es explotada por una petición HTTP hecho a mano, puede resultar en la toma del control de ejecución." Según el aviso, el firmware de FortiGate FOS versiones 5.x no se ve afectado por esta vulnerabilidad, que proporciona al atacante acceso administrativo remoto a los sistemas que se ven afectados.

¿Quiénes son los Shadow Brokers?

La identidad, así como la motivación, de los Shadow Brokers sigue siendo objeto de debate. El hombre que filtró datos de la NSA, Edward Snowden, sugirió que Rusia estaba detrás de la fuga:

El reconocimiento de los ataques es notoriamente difícil. Y si bien la hipótesis de Rusia ha recibido mucha atención, sin pruebas, han surgido otras teorías.

Matt Suiche, fundador y director general de la firma de seguridad cibernética MoonSols Ltd., informó que fue contactado por un ex analista de la NSA, el cual sugirió que los datos podrían haber sido filtrados a propósito por un empleado contrariado con información privilegiada, o que fueron descubiertos como resultado de un error de procedimiento que expuso los archivos. La firma Motherboard también informó de haber sido contactado por un empleado anónimo que afirmaba que el Shadow Broker es un interno rebelde de la NSA.

Enturbiando más las aguas, la firma de seguridad cibernética con sede en Seattle, Taia Global Inc., informó de los resultados de un análisis lingüístico preliminar de los mensajes que el Shadow Broker inicialmente publicó en Tumblr. "La evidencia sugiere que el autor es un hablante nativo que trata de parecer no nativo", incluida la falta completa de errores ortográficos, inconsistente –a veces incluso incompatible– con los errores de gramática y los errores gramaticales en las frases idiomáticas.

"Hay una serie de expresiones idiomáticas que sorprenderían si las usara un hablante con pocos conocimientos, no nativo, y algunas de estas se utilizan con errores gramaticales que alguien con bastante conocimiento del habla inglesa sería poco probable que cometiera", escribió Taia Global. "La explicación más razonable, entonces, es que los errores fueron insertados por un hablante nativo después de escribir las frases hechas."

Este artículo se actualizó por última vez en agosto 2016

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close